понедельник, февраля 19, 2007

RBL в действии.

Сейчас открою Америку. Я с какого-то момента начал считать, что технология RBL не эффективна. Плюс еще закрыли ordb.org, где так прямо и написали, не эффективно.  У меня примерно 60% соединений отбивает. Так это же мега круто. За выходные я получил .... внимание.... ОДНО ... спамерское письмо. Еще десяток сцапал Junk. Я не помню, когда такое было. Обычно 20-30 спам писем я получал за выходные, не считая Junk. Какая-то доля в этом и в активировании RBL фильтрации. Посмотрим какая статистика будет на конец месяца.

Используемые серверы:

sbl.spamhaus.org
bl.spamcop.net
list.dsbl.org
cbl.abuseat.org

Я выбрал их наугад и мне нравится. Если у Вас есть возражения или рекомендации, напишите, пожалуйста в комментариях.

12 комментариев:

Smirnov Alexander комментирует...

За 2 месяца работы фильтра мне пришлось: 1) добавить 7 IP клиентов в "белый список", чтобы их не отбивало; 2) добавить адрес сотрудника HR в список исключений, т. к. около 40% присылаемых ей реальных резюме не доходило по причине отфильтровывания.
При этом, не все проблемы решены, т. к. некоторые партнёры, мечтающие слать нам почту никак не могут сообщить IP своего SMTP-сервера.
За это же время я написал 5 писем по просьбе клиентов администраторам почтовых систем. Клиенты не могли отправить почту по причине попадания в тот или иной black list. При этом только в 1 случае мои письма возимели действие. Остальные были проигнорированы администраторами почтовых систем.

Pavel Nagaev комментирует...

Спасибо за комментарий.

Действительно, одной из проблем, является то, что небольшие компании заказывают сервис электронной почты у таких же небольших компаний, соответственно ни у тех, ни у других нет денег, чтобы платить нормальным ИТшникам. Отсюда сервера неправильно конфигурируются и попадают в RBL списки. Страдают от этого пользователи и администраторы принимающей стороны.

Получить IP адрес SMTP сервера от пользователя - это проблема и понятно по каким причинам. Я рекомендую в таком случае заняться самостоятельным поиском по DNS. Домены свои они, как правило знают.

Анонимный комментирует...

Пользовался RBL как в front-end exchange, так и в symantec mail security for exchange. Сейчас, правда, перевел фронт на lunix, а точнее novell security manager by astaro. Весчь приятная, тоже поддерживает RBL.
При применении RBL не нравился только sysmantec, т.к. в отбивке (NDR) не указывал конкретного провайдера RBL, а писал просто - "550 spam site", что не удобно.
В самом exchange отбивку можно "стряпать" самому ..
NSM - дает стандартную, но понятную отбивку.
За время примерения RBL самым злобным провайдером оказался dnsbl.sorbs.net, причем в его базе находятся много нормальных серверов, исключать которые сорбсы готовы только за деньги :(.
на данном этапе использую такие RBLы:

bl.spamcop.net
cbl.abuseat.org
sbl.spamhaus.org
dnsbl.njabl.org
whois.rfc-igrorant.org
opm.blitzed.org
Очень удобно проверять хост на наличие в них с сайта:
http://www.dnsbl.info/

Pavel Nagaev комментирует...

Сергей, спасибо за ссылку, http://www.dnsbl.info/. Для меня, мега полезно.

Smirnov Alexander комментирует...

Я рекомендую в таком случае заняться самостоятельным поиском по DNS.
По-моему не очень действенно. В общем случае сервер через который почту отправляют может не совпадать с сервером на который принимают. Разве нет? Сам помню работал в конторе, где РОР3 сервер был у хостера, а SMTP был провайдера интернет-канала.
Сейчас есть клиент, у которого. судя по SMTP-логам IP-адрес сервера-отправителя время от времени меняется. То с одного пошлёт, то через 5 минут с другого.

Pavel Nagaev комментирует...

Получить IP адрес SMTP сервера от пользователя - это проблема и понятно по каким причинам. Я рекомендую в таком случае заняться самостоятельным поиском по DNS. Домены свои они, как правило знают.

Александр, пожалуйста не выдирайте фразу из контекста. Имелось ввиду, что пользователи должны знать домен отправителя.

По поводу MX, IP и отправки.
MX - это принимающие сервера. Отправляющие сервера могут быть и другие. Например у нас 2 принимающих и 5 отправляющих сервера. Это 7 разных серверов.

свою же запись в DNS отправляющий сервер должен иметь, ибо от него ни один уважающий себя сервер почту принимать не будет. :-)

Smirnov Alexander комментирует...

свою же запись в DNS отправляющий сервер должен иметь, ибо от него ни один уважающий себя сервер почту принимать не будет. :-)
Отчего же? Проверка на наличие реверсной зоны ни по каким документам не является обязательной для принимающего сервера. Это лишь рекомендация. Многие админы включают её и начинается геморрой для отправителей. Часто админы это делают без ведома руководства.
На моём сервере нет проверки реверсной зоны для входящих подключений.

Pavel Nagaev комментирует...

Я имел ввиду А запись.

Поводу реверсных записей мы с коллегами вывели для себя истину пару лет назад и она полностью совпадает с вашей. У нас тоже не проверяется реверсная зона, но на всех отправляющих серверах она настроена, даже на тех, которые из инета не видно. Именно по причине того, чтобы мои письма были доставлены без проблем.

Анонимный комментирует...

а не подскажите как можно узнать эффективность работы RBL фильтра

Pavel Nagaev комментирует...

Очень просто. Нужно собрать статистику по входящим письмам недели за две, потом включить RBL, собрать за недельку и потом выключить. Вот сразу и увидите.

У меня резко уменьшилось количество вирусов и спама, засылаемых в систему. Трафик уменьшился минимум на процентов 50.

Анонимный комментирует...

спасибо, да я потом догадался :) я правда имел ввиду какой-нибудь мониторинг, System Monitor или Diagnostics. Просто у нас между инетом и локалкой стоит relay сервер и я вот думаю будет ли работать фильтрация или нет в такой конфигурации

Pavel Nagaev комментирует...

Счетчики RBL для perfmon у Exchange есть.

RBL нужно настраивать на релее тогда. На том, что смотрит в Инет.